DarkNimbus 后门

一个之前未被确认的威胁组织，现被称为 Earth Minotaur，已浮出水面，成为网络监控领域的重要参与者。Earth Minotaur 通过使用 MOONSHINE 漏洞利用工具包等复杂工具和新发现的名为 DarkNimbus 的后门，展示了其针对 Android 和 Windows 设备的能力，旨在有预谋地渗透和监控藏族和维吾尔族社区。

MOONSHINE 漏洞攻击包：跨平台威胁的入口

Earth Minotaur 行动的核心是 MOONSHINE 漏洞利用工具包。MOONSHINE 最初记录于 2019 年针对西藏目标的网络攻击中，它利用基于 Chromium 的浏览器和应用程序中的漏洞来传递其有效载荷。此后，它不断演变，加入了更多漏洞，例如 CVE-2020-6418，这是谷歌在 2020 年初修补的 V8 JavaScript 引擎中的缺陷。

该漏洞工具包用途广泛。它针对 Google Chrome、微信、QQ 和 LINE 等应用程序，旨在通过损坏的链接渗透受害者的设备。这些链接通常伪装成良性内容，例如与藏族和维吾尔族社区有关的公告或多媒体，以最大限度地提高社会工程策略的有效性。

DarkNimbus：一种多功能且具有侵入性的后门

一旦 MOONSHINE 获得设备的访问权限，它就会提供 DarkNimbus 后门，这是一种专门用于长期监控的工具。

Android 上的 DarkNimbus

DarkNimbus 的 Android 版本极具侵入性，利用 XMPP 协议与其操作员进行通信。它能够窃取敏感数据，包括：

• 设备元数据
• 地理位置数据
• 通话记录
• 联系方式和信息
• 浏览器书签和剪贴板内容

DarkNimbus 还利用 Android 的辅助功能服务拦截 WhatsApp、微信和 Skype 等热门通讯应用程序发送的消息。此外，它还可以执行 shell 命令、记录通话、截取屏幕截图，甚至卸载自身以逃避检测。

Windows 上的 DarkNimbus

尽管功能不那么丰富，但 Windows 版本仍然是数据泄露的有力工具。自 2020 年底以来，它可以捕获系统信息、击键、剪贴板数据、已保存的凭据和浏览器历史记录。

社会工程学和漏洞利用链：攻击剖析

Earth Minotaur 严重依赖社会工程学来引诱受害者落入陷阱。即时通讯应用中嵌入的威胁链接会将受害者重定向到 55 多个 MOONSHINE 漏洞服务器之一。这些服务器根据受害者的设备和浏览器配置部署各种策略：

• 漏洞执行：如果发现漏洞，服务器就会安装 DarkNimbus 后门。
• 网络钓鱼重定向：如果攻击失败，受害者可能会遇到催促他们更新浏览器的网络钓鱼页面，这可能会导致进一步的攻击。

在某些情况下，攻击涉及降级微信等应用程序中的浏览器引擎，并将其替换为有利于持续访问的木马版本。

地球牛头怪的全球影响力

该组织的活动不受地域限制。受害者已遍布 18 个国家，包括美国、加拿大、印度、德国和台湾，凸显了其行动的全球范围。

虽然 MOONSHINE 与 POISON CARP 和 Earth Empusa 等其他威胁组织有关联，但 Earth Minotaur 却独立运作。该组织针对藏族和维吾尔族社区，这与 Evasive Panda 和 Scarlet Mimic 等对手的类似活动一致。然而，Earth Minotaur 因其使用高度适应性的工具和复杂的感染链而脱颖而出。

月光的持续演变

MOONSHINE 仍是一个正在积极开发的工具包，并由包括 UNC5221 和 Earth Minotaur 在内的各种威胁行为者共享。它的持续改进凸显了对手针对脆弱社区的持续性。

最后的想法：认识并减轻威胁

地球牛头怪是针对性网络攻击日益复杂的典型代表。我们敦促用户保持软件更新，谨慎对待未经请求的链接，并保持警惕，防范网络钓鱼。随着威胁行为者不断改进其策略，主动的网络安全措施仍然是抵御地球牛头怪等不断演变的威胁的第一道防线。